Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://odesa.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ternopil.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rivne.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vinzem.gov.ua (хакером RxR) - 23.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kakhovka-rayrada.gov.ua (хакером Xvirus) - 06.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://traven.com.ua (хакером Xvirus) - 06.07.2016, зараз сайт вже виправлений адмінами
• http://kakhovka.com.ua (хакером Xvirus) - 06.07.2016, зараз сайт вже виправлений адмінами
• http://art-pro.dp.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
• http://doctorpoluektov.com.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
• http://my-cook.net (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• Web interface for DNSmasq / Mikrotik - SQL Injection (деталі)
• CakePHP Framework 3.2.4 - IP Spoofing (деталі)
• SAP xMII 15.0 - Directory Traversal (деталі)
• Magento < 2.0.6 - Unauthenticated Arbitrary Unserialize -> Arbitrary Write File (деталі)
• IPFire - proxy.cgi Remote Code Execution (Metasploit) (деталі)

26.01.2016

В листопаді, 30.11.2015, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості на screenshot.com.ua. Про що найближчим часом повідомлю розробникам системи.

Про Abuse of Functionality дірку на цьому сайті для проведення DoS атак я вже згадав в останньому випуску моєї програми DAVOSET, де screenshot.com.ua приведений у списку сайтів-зомбі.

Детальна інформація про уразливості з’явиться пізніше.

24.11.2016

XSS:

http://screenshot.com.ua/makeit.cgi?url=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Abuse of Functionality:

POST запит до http://screenshot.com.ua/makeit.cgi.

Дана дірка може використовуватися для DoS атак (як на сам сайт, так і на інші сайти).

Також на сайті є Redirector та інші уразливості. Власник сайта відмовився виправляти окрім XSS, тому вони досі не виправлені.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):

• Data breach
• Memory corruption
• Stack buffer overflow
• Uncontrolled format string
• Web application security scanner

У листопаді, 10.11.2016, вийшли PHP 5.6.28 і PHP 7.0.13. У версії 5.6.28 виправлено багато багів і 15 уразливостей, у версії 7.0.13 виправлено багато багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.28 і 7.0.13 виправлено:

• Дванадцять уразливостей в ядрі та модулях.
• Три уразливості в PHP 5.6.28.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• OpenStack Nova vulnerabilities (деталі)
• Directory Traversal and Arbitrary File Disclosure in hybris Commerce Software Suite (деталі)
• Piwigo - SQL Injection in Version 2.7.3 (деталі)
• PHP Code Execution in jui_filter_rules Parsing Library (деталі)
• Vulnerability in OpenStack Neutron (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах BuddyPress Activity Plus, Download Manager Free, Mailcwp, Mobile Pack, Portfolio. Для котрих з’явилися експлоіти.

• WordPress BuddyPress Activity Plus 1.5 CSRF / File Deletion (деталі)
• WordPress Download Manager Free 2.7.94 / Pro 4 XSS (деталі)
• WordPress Mailcwp 1.99 Shell Upload (деталі)
• WordPress Mobile Pack 2.1.2 Information Disclosure (деталі)
• WordPress Portfolio 1.0 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У жовтні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у листопаді.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.11.2016
DDoS на cikdnr.ru - 01-15.11.2016
DDoS на cik-lnr.info - 01-15.11.2016
DDoS на без-вести.рф - 01-15.11.2016
DDoS на ungu.org - 01-15.11.2016
DDoS на bne.su - 01-15.11.2016
DDoS на dnrpress.ru - 01-15.11.2016
DDoS на batalyonmoskva.ru - 01-15.11.2016
DDoS на icp.su - 01-15.11.2016
DDoS на interbrigada.org - 01-15.11.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Виявлені численні уразливості безпеки в Microsoft SQL Server.

Уразливі продукти: Microsoft SQL Server 2012 SP2 і SP3, SQL Server 2014 SP1 і SP2, SQL Server 2016.

Підвищення привілеїв, міжсайтовий скриптінг та витік інформації. 4 EoP, XSS в MDS та IL в SQL Analysis Services.

• Microsoft Security Bulletin MS16-136 - Important Security Update for SQL Server (3199641) (деталі)

В даній добірці експлоіти в веб додатках:

• ManageEngine Applications Manager Build 12700 - Multiple Vulnerabilities (деталі)
• Multiple JVC HDRs and Net Cameras - Multiple Vulnerabilities (деталі)
• Trend Micro - Multiple HTTP Problems with CoreServiceShell.exe (деталі)
• HP Data Protector A.09.00 - Encrypted Communications Arbitrary Command Execution (Metasploit) (деталі)
• IPFire - Bash Environment Variable Injection (Shellshock) (Metasploit) (деталі)